Как власти будут выявлять тех, кто пользуется VPN: методичка Минцифры

Минцифры подготовило правила для платформ, как они должны выявлять пользователей с включенным VPN. Этим будут заниматься маркетплейсы, банки и магазины. Однако поиск клиентов, использующих VPN, оказался осложнен. Как будут выявлять пользователей сервисов, с чем возникнут проблемы и какие последствия будут для нас — в материале.

Минцифры попросило крупнейшие в России компании помочь с блокировкой VPN. Представителям бизнеса на прошлой неделе предоставили методичку, как самостоятельно выявлять и блокировать такие сервисы. По задумке Минцифры, эти меры позволят блокировать нынешние и будущие VPN.

С 15 апреля компании должны ввести ограничения для пользователей с включенными VPN, а также выявлять тех, кто пользуется такими сервисами. Те компании, сервисы которых продолжат работать при включенных у пользователей VPN, могут лишиться IT-аккредитации, которая дает право на льготы. Также их исключат из белого списка сервисов, которые должны быть доступны при отключении интернета, и уберут из списка ресурсов, обязательных для предустановки на гаджеты российских пользователей.

По информации Минцифры, больше половины всех устройств, которыми пользуются люди, — это смартфоны и планшеты с операционными системами Android и iOS. На этих устройствах установлено 80% приложений, которые помогают обнаруживать VPN. Поэтому, чтобы найти и заблокировать VPN (виртуальные частные сети), нужно начать с этих гаджетов.

«Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — цитирует документ ведомства РБК.

Включен ли VPN на устройствах пользователей, будут проверять в 3 этапа:

1. Определять IP-адрес устройства и сравнивать его с теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;

2. Проверять использование этих сервисов на устройстве с собственного приложения (если оно установлено на том же устройстве);

3. Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).

К примеру, если страна или регион пользователя по IP-адресу не совпадут с российскими, или совпадут с ранее заблокированными РКН, или если будет выявлено, что у пользователя часто менялись страны, это будет признаком для блокировки. Однако такой признак всегда будет требовать подтверждения через второй или третий этап проверки.

Еще в материалах министерства указано, что осуществить второй этап проверки на устройствах iOS от Apple непросто, потому как «на iOS доступ к системным параметрам существенно ограничен». Это связано с тем, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях.

У Android ситуация проще: там легко можно отследить IP-адрес устройства, если он был изменен при помощи VPN.

Помимо сложностей с iOS, в материалах министерства описан ряд ситуаций, когда выявление VPN затруднено или невозможно. Среди них:

• VPN на роутерах. Если сервис настроен на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты, выявить VPN невозможно.

• VPN в виртуальных машинах. Если сервис развернут внутри виртуальной машины, его выявление тоже затруднено.

• Прокси-серверы. Их невозможно определить по базам, если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера.

• Split tunneling. Это режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.

• CDN (сети доставки контента — специальные серверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.

• Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.

Также Минцифры предлагает взимать дополнительную плату за использование VPN и даже наказывать по статье. Но это предложение пока не реализовано.